Jeżeli czyjeś dane osobowe zostały ujawnione, administrator danych jest zobowiązany podać tej osobie, na jej wniosek, dokładną tożsamość odbiorców danych - orzekł w czwartek Trybunał Sprawiedliwości UE w Luksemburgu.
Wyrok dotyczył sprawy z Austrii, gdzie do Oesterreichische Post, będącej głównym operatorem usług pocztowych i logistycznych w tym kraju, wpłynął wniosek obywatela o przekazanie mu informacji o tożsamości odbiorców, którym OeP przekazała jego dane osobowe.
Podstawą tego wniosku było ogólne rozporządzenie o ochronie danych osobowych (RODO).
W odpowiedzi Oesterreichische Post ograniczyła się do poinformowania, że wykorzystuje dane osobowe w zakresie zgodnym z prawem jako wydawca książek adresowych i że oferuje te dane swym partnerom handlowym do celów marketingowych.
Niezadowolony Austriak pozwał Oesterreichische Post do sądu.
W toku postępowania sądowego okazało się, że dane osobowe były przekazywane klientom OeP, w tym reklamodawcom w sektorze sprzedaży wysyłkowej i handlu stacjonarnego, przedsiębiorstwom informatycznym, wydawcom książek adresowych oraz organizacjom pozarządowym.
W wydanym w czwartek wyroku Trybunał orzekł, że jeżeli dane osobowe zostały lub zostaną ujawnione odbiorcom, administrator danych jest zobowiązany podać osobie, której dane dotyczą, na jej wniosek, dokładną tożsamość tych odbiorców. Tylko gdy nie jest (jeszcze) możliwe zidentyfikowanie tych odbiorców, administrator może ograniczyć się do podania wyłącznie kategorii, do których odbiorcy należą.